Sniffing, 스니핑

Sniffing은 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 것을 의미한다.

 

타겟으로 정한 장치의 통신과정을 스니핑 하기위해선 다음과 같은 조건들이 성립하여야 한다.

 

① Sniffing의 공격 조건

 

1) Media 공유

 - 정보를 가지고 있는 신호가 공격자의 시스템에 도착해야 함

 - Hub 환경 -> 피해자와 공격자가 같은 Collision Domain(충돌영역)에 위치해야 함

 - Switch 환경 -> 피해자의 전기적인 신호를 유도할 수 있는 추가 공격이 필요함

 

2) 공격자 시스템의 NIC가 Promiscuous 모드로 동작해야 함

 - Frame이 NIC에서 Filtering되는 것을 방지해야 함

 

※ NIC(Network Interface Card)의 Mode Type

 * Bypass Mode

  - 일반적인 NIC의 기본 동작 모드

  - Filtering 동작하는 모드 -> 목적지 주소가 자신 또는 Broadcast인 데이터만 받아들이는 모드

 

 

 * Promiscuous Mode

 

  - Filterfing 해제 모드 -> 목적지 주소와 상관없이 NIC에 도달한 모든 데이터를 받아들이는 모드

  - Software를 이용하여 Promiscuous Mode를 활성화 함

   ㄴ 관리자 권한으로 프로그램이 실행되어야 함

   ㄴ Windows -> winpcap

   ㄴ Linux -> libpcap, ifconfig

 

 # Promicuous Mode (Linux)

Promicuous Mode 활성화	# ifconfig eth0 promisc
Promicuous Mode 해제(bypass mode)	# ifconfig eth0 -promisc

 

3) 공격자 시스템에서 Sniffer 프로그램을 사용

 - NIC에서 Frame을 받아들여도 상위 계층(IP)에서 Filtering하기 때문에 Data Link Interface를 이용하여 Frame을 복제하여 처리 -> Application계층까지 데이터가 도달해야 함

 

4) Sniffing할 데이터가 암호화 되지 않아야 함

 - 암호화된 데이터는 Sniffing만으로 정보를 확인 할 수 없음

 

 

② Sniffier 분류

 

1) Passive Sniffing

 - (공격자가) 수동적으로 공격

 - 공격자 시스템에 전달되는 전기적인 신호를 Sniffer를 이용하여 획득하는 공격

 - Hub 환경에서 수행되는 공격

 

 2) Active Sniffing

 - (공격자가) 능동적으로 공격

 - 일반적인 상황에서 전기적인 신호가 전달되지 않는 환경에서 추가 공격을 통해 데이터의 전달 흐름을 변경하여 공격자 시스템으로 전달되도록 유도하는 공격

 - Switch 환경에서 수행되는 Sniffing 공격

  * 2계층(MAC) : Switch Jamming(=MAC Flooding), ARP Spoofing(=ARP cache Poisoning) ...

  * 3계층(IP) : ICMP Redirect, DHCP Spoofing, GRE Sniffing(Remote Sniffing) ...

 - MITM(Man In The Middle) 공격 형태가 될 수 있음.

 

※ MITM 이란 ..?

 * 중간자 공격(MITM, Man In The Middle Attack)

  - 공격자가 통신 경로의 중간에 끼어드는 공격 형태

  - 공격 목적 : Sniffing, Filtering, Injection, Dos, Spoofing

  - 방식 : Transparent type, Proxy Type

 

 * Transparent MITM

  - 통신 경로 사이에서 공격자가 노출되지 않고 MITM 공격을 수행하는 방식

  - 데이터는 공격자를 경유하지만 데이터의 IP 주소는 변경되지 않음

 

 * Proxy MITM

  - 통신 경로 사이에서 공격자가 노출되면서 MITM 공격을 수행하는 방식

  - IP 주소를 변조하여 통신의 흐름을 공격자로 변경되게 함